O principal erro na introdução do RGPD é confiar na força e nos recursos de apenas uma pessoa. Uma prática comum é esperar um trabalho independente sobre as regras de um advogado. Em tal situação, se ele não tem peso suficiente na organização e não consegue convencer seus colegas da necessidade de um trabalho coordenado geral, tudo se resume a preparar modelos de documentos inúteis que não protegerão a empresa.
GDPR não realiza sozinho
Pior ainda, se não é mesmo um advogado. Após enviar perguntas do GDPR a um redator ou profissional de marketing, você pode obter uma política de privacidade de modelo (política de privacidade) em seu site. Você se lembra
por que isso é ruim ? Nessa política, seus usuários não verão por que você usou os números de telefone deles ao se inscrever em um boletim informativo por e-mail. E então eles ficarão surpresos ao receber uma ligação com a oferta de um produto ou serviço. Bottom line: reclamação dupla para marketing direto e política de privacidade.
Moral: O cumprimento do RGPD é trabalho em equipe. Departamento de conformidade, advogados, departamento de segurança da informação ou infraestrutura de TI, marketing e vendas, departamento de RH (se houver funcionários na União Europeia), departamentos de produção e funcionais - equipe dos sonhos ao implementar o regulamento.
Explore os requisitos de forma abrangente
Um foco restrito à inovação em detrimento do RGPD geral é um erro comum. Começando a elaborar uma política de privacidade ou consentir com o processamento de dados pessoais, as empresas geralmente esquecem as regras que existem há décadas. Regras que migraram da antiga Diretiva 95/46 / EC para o GDPR. Se você ler apenas breves publicações sobre as inovações do GDPR, provavelmente não conhecerá essas regras. Enquanto isso, o GDPR não abole as regras da diretiva, como explicitamente afirmado no artigo 94 e no preâmbulo 171. As multas por não conformidade com certas regras são igualmente altas.
Avaliar riscos
E faça isso em todo lugar. O GDPR mudou a proteção de dados pessoais dos trilhos das listas de verificação para a avaliação de riscos. Com base em uma análise de risco, você precisa desenvolver documentos de forma independente e determinar quais medidas devem ser tomadas. Ao mesmo tempo, o regulamento não descreve o resultado a que a avaliação de risco o levará. É provável que medidas bem-sucedidas e eficazes em uma empresa sejam irrelevantes para outra. Somente com base no nível de riscos e nas características de uma ameaça específica, você pode escolher medidas para sua empresa.
Portanto, por exemplo, o risco de transferir um banco de dados pessoais para um concorrente por um funcionário subornado não é relevante para sua empresa. Além disso, é provável que a empresa contratada que processa os dados cometa uma violação com consequências negativas em relação àqueles que confiaram esses dados. Sua tarefa é acompanhar a implementação do RGPD pelos contratados que você envolveu no processamento de dados pessoais. Talvez você não tenha ouvido falar sobre isso de um amigo de outra empresa (bem, o que você pode ouvir de nós).